Bok ekipa.

Zanima me jer koristite štogod od aplikacija na MACU-u a ujedno i na iPhone-u za digitalno potpisivanje. Znači kada mi dođe neka ponuda, obračun, otpremnica na mail od posla da ih automatski prebacim tamo i potpišem ( datum + potpis ).

Hvala Vam i lp

Koristim integrirane opcije za potpisivanje na Macu i iPhoneu.

Na macu u Preview kada otvoriš dokument za pregled kraj tražilice imaš ikonicu markera. Klikom na nju otvara se novi toolbar i jedan od itema je i Sign. Kreiraš na trackpadu potpis povlačenjem prsta i imaš ga spremljenog za ubuduće.




Ista stvar i na iPhoneu, klikneš gore na uređivanje, pa ponovno tri točkice i imaš obilježi. Stisneš skroz desno uz sve toolove i izbornik boja na + i imaš ponuđen potpis.

Također

Pretpostavljam da ste svjesni da, u pravnom smislu, to nije potpis (a kamoli digitalni potpis), nego pikselni žvrljak na digitalnom dokumentu.

Digitalni potpis (koji se administrativno i pravno priznaje kao potpis (autorizacija i autentifikacija određenog dokumenta) je blok bajtova generiran asimetričnom enkripcijskom shemom uz pomoć osobnog asimetričnog ključa pohranjenog na USB sticku, chip kartici, u memoriji mobitela i sl. (tzv. "something you have") omogućenog za potpisivanje utipkavanjem tajne fraze ili pin-a (tzv. "something you know"), na način da predstavlja surjektivnu funkciju. Dakle, ako se u potpisanom dokumentu nešto promijeni, provjera autentičnosti tog bloka bajtova neće ukazati na mjesto gdje je nešto promijenjeno, ali će reći kako dokument više ne odgovara onom koji je bio digitalno potpisan.

I ja se nadam da su toga svjesni.
Bez aktiviranja e-osobne ili neke korporativne kartice-sticka i sl., zaboravite na digitalno potpisivanje. U protivnom, kao što veli smayoo, to je samo žvrljak

Koristim certifikat za udaljeni e-potpis kojeg izdaje Fina. S obzirom da se radi o RDS-u nije potreban nikakav uređaj za pohranu privatnog ključa. Potpisivanje dokumenta se radi preko browsera, a radi i na mobilnim uređajima.

Zar taj servis ne radi s nekom vrstom tokena (aplikacije za smartphone ili klasičnog ručnog tokena)?

Ne.

Radi se o Remote Digital Signing servisu koji je eIDAS certificiran. Za izradu para ključeva nije potreban nikakav uređaj već se par ključeva izrađuje i štiti na certificiranim HSM-ovima u Fini. Privatni ključ se aktivira brojem mobitela, zaporkom i TAN-om koji stiže SMS-om na mobitel. Ovdje se radi o naprednom elektroničkom potpisu koji je sukladan eIDAS regulativi i time potpuno pravovaljan. Potpisati se može "de facto" sve jer su podržani PAdES, XAdES i CAdES.

Može se odabrati B, T i LTV razina potpisa. Sve se radi preko browsera.

Da, to sam sve znao, jedino nisam znao da se autorizacija radi običnim transakcijskim kodom preko SMS-a. Nije se baš ubilo od sigurnosti...

Kako misliš nije se ubilo od sigurnosti? Ovo je i te kako sigurno. Autentikacija i aktivacija je dvofaktorska. Sustav ima eIDAS certifikat. Niti je prvi niti jedini u EU koji radi na ovakav način. eIDAS certifikacija je vrlo mukotrpna, opsežna i detaljna. Zašto misliš da je nesigurniji od toga kad imaš token ili karticu kod sebe? Da to nije sigurno ne bi dobili eIDAS certifikat.

Tvoj privatni ključ se izrađuje na HSM-u i enkriptira još tvojim brojem mobitela i passwordom koji definiraš prilikom preuzimanja. Jednokratni TAN za aktivaciju dolazi na tvoj registrirani broj mobitela nakon upisivanja passworda. U SMS poruci uz TAN ti je naveden i challenge koji ti piše na stranici. Ako zaboraviš password ili promijeniš broj mobitela moraš uzeti novi certifikat.

Jednostavno je prošlo vrijeme za pametne kartice i usb stickove s certifikatima. Kud moraš imati čitač ili paziti na karticu. Pa instalirati middleware koji ili ne radi na MAC-u ili se tuče s middleware-om od drugog certifikata koji imaš od banke. Pa i kad natjeraš middleware na MAC da radi taman izađe update i čekaj koji mjesec da Gemalto/Thales napravi novi. A i gdje ćeš na iPhone ili iPAD uštekati token s certifikatom, a kamoli da to radi.

Ovako si mobilan. Potpišeš dokument na bilo kojem računalu koje ima bilo koji browser, radi i na iPhone-u i na iPad-u. S tim da na njima jedino ne možeš odrediti gdje će se nalaziti potpis ako staviš da je vidljiv.

Ma slažem se s tobom, to je neusporedivo praktičniji način potpisivanja. Ali smatram da autorizacija SMSom na br mobitela nije dovoljno sigurna. Token aplikacija na smartphoneu je barem dvije stepenice sigurnija. Prvo - ne unosiš password online preko bilo kojeg komunikacijskog kanala, i drugo - response na challenge se generira kod tebe lokalno, umjesto da ti ga netko šalje da ga vratiš.
Transakcijski kôd SMSom mi je OK za điđimiđi security, tipa two factor autenitifikacija na google ili registracija na viber i sl. Za digitalni potpis mi je to ispod nivoa. Pogotovo što, kako kažeš, pristupaš usluzi digitalnog potpisa odakle god, s bilo kakvog računala, preko bilo čije internetske veze. Obični keylogger ti prepolovi sigurnost. A SMS je potpuno neosiguran kanal komunikacije. Ako si slučajno na nekoj baznoj stanici gdje se SMS još uvijek propagira GSM-om (ima ih dosta, zapravo), može ti malo dijete presresti SMS. A ako te netko baš "nacilja", naruči si klon tvoje SIM kartice za 1000 EUR preko interneta.

A o sasvim banalnom scenariju, da ti netko mazne telefon samo na minutu dok si na WCu, da i ne govorim. Na masu mobitela pročitaš SMS poruku dok je telefon zaključan, ne trebaš ga ni otključavati. Meh... šteta... Trebali su se malo više potruditi i napraviti kvalitetnu token aplikaciju za smartphone.

Puno je tu ako Smayoo. Ako imaš token na mobitelu onda ako ti mazne mobitel dok si na wc-u ode ti i token. A možeš imati klasično privatni ključ na nekom sticku ili qscd-u i napišeš PIN na njega i opet imaš problem. O sigurnosti transakcije se ne mora brinuti samo pružatelj usluge nego i korisnik. SMS je nesiguran no puno se toga mora poklopiti i baš će se netko toliko potruditi da mi fejka potpis nekog dokumenta. Tu imaš kloniranje GSM kartice i man in the middle ili keylogger sve u isto vrijeme. Scenario prije za neku tešku bankovnu transakciju nego za digitalno potpisivanje koje je još u povojima. Ipak, svakako se slažem da je SxS sigurniji način. Uz moje mjere opreza mislim da je ovo dovoljno dobro.

Naravno. Ti najbolje znaš što potpisuješ i koja ti je razina sigurnosti OK. Gledano iz mog kuta, meni je žao (a) što mi strukovna komora ne dozvoljava koristiti cloud potpisni servis umjesto chip kartice jer, slažem se, tehnologija je već pregažena, ali i (b) čak i da mi dozvoljava, mislim da bi mi transakcijski kod SMSom umjesto pristojnog sw tokena na mobitelu - bio dealbreaker...